关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


游侠测评:FortiWiFi-20C(09-配置SYSLOG)

2013-08-09 00:11 推荐: 浏览: 132字号:

摘要: 在大型的网络中,管理员往往需要面对N台设备,其中可能包括路由器、交换机、防火墙、入侵检测、Windows、Linux……等不同类型的设备、系统、应用,如何对日志进行有效的管理是一个大问题。 还好,有SYSLOG(关于什么是syslog,请自行搜索)! Fort...

在大型的网络中,管理员往往需要面对N台设备,其中可能包括路由器、交换机、防火墙、入侵检测、Windows、Linux……等不同类型的设备、系统、应用,如何对日志进行有效的管理是一个大问题。

还好,有SYSLOG(关于什么是syslog,请自行搜索)!

FortiWiFi-20C是支持SYSLOG输出的,记录的日志种类也比较多,如下图:

游侠测评:FortiWiFi-20C(09-配置SYSLOG)

当然,如果选择了“Send Logs to FortiCloud”后,会收到详细的分析报告,在此不赘述。配置好的话,你会每天在邮箱收到分析邮件,游侠这里放一个样本,您可以下载分析:

SummaryReport_daily_2013-07-20_2013-07

当然,上面配置好之后,还得执行一步,必须在CLI中输入下列命令:

config log syslogd setting

set status enable

set csv enable

set port 514

set server 192.168.1.20

end

其实比较简单,照着输入就是了,514是syslog的默认端口号,下面的set server后输入你的SYSLOG服务器地址,然后就可以收到syslog信息了,如下图:

游侠测评:FortiWiFi-20C(09-配置SYSLOG)

后面黑色背景、绿色字体的,即为设备发送过来的syslog信息,我在这里放上几条做分析:

Message meets Alert condition

date=2013-08-06 time=22:53:37 devname=FWF20C3X12003208 devid=FWF20C3X12003208 logid=0100032001 type=event subtype=system level=information user="admin" ui=http(192.168.1.20) action=login status=success reason=none profile="super_admin" msg="Administrator admin logged in successfully from http(192.168.1.20)"

//帐号admin从192.168.1.20成功登录

Message meets Alert condition

logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=192.168.1.20 srcport=64183 srcintf="internal" dstip=183.60.18.111 dstport=8000 dstintf="wan" sessionid=3208 status=deny policyid=1 dstcountry="China" srccountry="Reserved" trandisp=snat transip=113.138.28.161 transport=64183 service=8000/udp proto=17 appid=108855300 app="QQ" appcat="IM" applist="default" appact=drop-session duration=180 sentbyte=0 rcvdbyte=0 crscore=30 craction=131072

//QQ聊天工具被阻断

Message meets Alert condition

date=2013-08-08 time=23:38:25 devname=FWF20C3X12003208 devid=FWF20C3X12003208 logid=0316013056 type=webfilter subtype=ftgd_blk level=warning policyid=1 identidx=0 sessionid=8321 srcip=192.168.1.20 srcport=6254 srcintf="internal" dstip=202.100.73.29 dstport=80 dstintf="wan" service="http" hostname="www.jiathis.com" profiletype="Webfilter_Profile" profile="default" status="blocked" reqtype="referral" url="/code/swf/m.swf" sentbyte=392 rcvdbyte=0 msg="URL belongs to a denied category in policy" method=domain cat=26 catdesc="Malicious Websites"

//www.jiathis.com被当做恶意网站阻断

似乎在老的版本中,配置syslog只需要通过web页面就可以了,但是游侠在升级FortiWiFi-20C到最新版后,似乎页面没有配置syslog转发的地方,只能通过命令配置了。游侠在网上找到一个此前的图,可以借鉴:

游侠测评:FortiWiFi-20C(09-配置SYSLOG)

只需要选中“syslog服务器设置”输入IP、端口,就OK咯!简单、快速、国际范!期待下个版本的改进。

其实FortiWiFi-20C的syslog配置还是比较简单的,并且信息也比较详细,如果通过“格式化”后的日志审计系统,也会具备不错的可读性。

作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢

测评全文

联系站长租广告位!

中国首席信息安全官
Copy link